安全設(shè)備、服務(wù)器及服務(wù)器信息安全實(shí)現(xiàn)方法
【專(zhuān)利摘要】本發(fā)明公開(kāi)了一種安全設(shè)備、服務(wù)器及服務(wù)器信息安全實(shí)現(xiàn)方法�����。所述安全設(shè)備包括:通訊模塊����,用于與服務(wù)器提供的對(duì)外通信接口對(duì)接,并通過(guò)該接口實(shí)現(xiàn)與服務(wù)器的信息交互����;固件模塊,用于被預(yù)先配置有至少一安全控制策略��;以及�,處理模塊,用于當(dāng)服務(wù)器檢測(cè)到該安全設(shè)備時(shí)���,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)�����。本發(fā)明利用一集成安全控制策略的高速安全設(shè)備(例如安全芯片卡)����,保護(hù)服務(wù)器的安全,實(shí)現(xiàn)服務(wù)器安全的即插即用功能�,實(shí)現(xiàn)將對(duì)外的服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,同時(shí)又與內(nèi)部網(wǎng)關(guān)完全隔離�����。
【專(zhuān)利說(shuō)明】安全設(shè)備��、服務(wù)器及服務(wù)器信息安全實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及服務(wù)器安全防護(hù)【技術(shù)領(lǐng)域】�����,具體而言�,涉及一種安全設(shè)備、服務(wù)器及服務(wù)器信息安全實(shí)現(xiàn)方法�����。
【背景技術(shù)】
[0002]服務(wù)器是企事業(yè)信息系統(tǒng)中的重要組成部分��,服務(wù)器的安全是整個(gè)信息系統(tǒng)安全的基石�����。權(quán)威數(shù)據(jù)顯示��,整個(gè)信息系統(tǒng)中大約有80%的數(shù)據(jù)2由服務(wù)器來(lái)處理的��,并且��,隨著服務(wù)器的功能和性能的不斷發(fā)展���,信息系統(tǒng)對(duì)服務(wù)器的依賴(lài)程度將越來(lái)越大���。突然的停機(jī)、意外的網(wǎng)絡(luò)中斷�、黑客攻擊、重要數(shù)據(jù)被竊取等事件一旦發(fā)生��,將會(huì)對(duì)整個(gè)信息系統(tǒng)的安全造成非常大的影響�,從而給企事業(yè)單位造成非常嚴(yán)重的損失。
[0003]已知地�����,服務(wù)器的安全防護(hù)策略關(guān)系到信息系統(tǒng)核心服務(wù)器的安全問(wèn)題���,有效的安全防護(hù)策略可以避免信息系統(tǒng)的核心服務(wù)器面臨非法接入����、信息劫持、入侵滲透�、病毒破壞、后門(mén)攻擊���、特權(quán)攻擊�、數(shù)據(jù)篡改����、數(shù)據(jù)泄露等安全威脅。
[0004]在實(shí)際應(yīng)用當(dāng)中�,服務(wù)器中的大量應(yīng)用以及數(shù)據(jù)都是信息系統(tǒng)得以安全、穩(wěn)定且高效運(yùn)行的保障和基礎(chǔ)�,但本發(fā)明的發(fā)明人發(fā)現(xiàn),當(dāng)前針對(duì)服務(wù)器安全的眾多的安全產(chǎn)品和技術(shù)���、如傳統(tǒng)的防火墻����、IDS (Intrusion Detection Systems,入侵檢測(cè)系統(tǒng))/IPS(Intrusion Prevention System,入侵預(yù)防系統(tǒng))等都是用來(lái)保護(hù)網(wǎng)絡(luò)安全或信息系統(tǒng)本身的安全����,然而缺乏旨在對(duì)信息系統(tǒng)的核心服務(wù)器進(jìn)行安全防護(hù)的技術(shù)��。因此,現(xiàn)有技術(shù)在具體實(shí)施時(shí)還至少存在如下安全隱患:
其一��、物理專(zhuān)網(wǎng)用戶無(wú)法有效防范第三方開(kāi)發(fā)人員�、第三方運(yùn)維人員、甚至內(nèi)部人員給數(shù)據(jù)庫(kù)帶來(lái)的風(fēng)險(xiǎn)�����;
一�、特權(quán)用戶的權(quán)限不受控,可以隨時(shí)獲取��、篡改任何資料�����;
二���、利用Web代碼的缺陷或利用管理的漏洞通過(guò)前臺(tái)滲透�,從而實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的越權(quán)訪問(wèn)���;
三���、缺乏完整詳盡的數(shù)據(jù)審計(jì)手段�;
四�����、應(yīng)用前臺(tái)用戶對(duì)數(shù)據(jù)的訪問(wèn)���,在數(shù)據(jù)庫(kù)上無(wú)法記錄最終用戶��;
五�、利用數(shù)據(jù)庫(kù)安全漏洞和協(xié)議漏洞發(fā)起針對(duì)數(shù)據(jù)庫(kù)的直接攻擊行為�����;
六�、大量的安全產(chǎn)品在服務(wù)器網(wǎng)絡(luò)中進(jìn)行部署,無(wú)法有效的防護(hù)應(yīng)用的核心���。
【發(fā)明內(nèi)容】
[0005]為了解決上述技術(shù)問(wèn)題中的至少一個(gè)�,本發(fā)明的目的在于提供一種服務(wù)器安全實(shí)現(xiàn)方法�、裝置及服務(wù)器。
[0006]為了達(dá)到上述目的�,本發(fā)明實(shí)施例采用以下技術(shù)方案實(shí)現(xiàn):
一種安全設(shè)備,包括:
通訊模塊,用于與服務(wù)器提供的對(duì)外通信接口對(duì)接���,并通過(guò)該接口實(shí)現(xiàn)與服務(wù)器的信息交互; 固件模塊�����,用于被預(yù)先配置有至少一安全控制策略�����;
以及�,處理模塊,用于當(dāng)服務(wù)器檢測(cè)到該安全設(shè)備時(shí)���,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)���。
[0007]優(yōu)選地,所述安全設(shè)備可插拔地與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接���;
或���,所述安全設(shè)備被集成于服務(wù)器的主板上,并與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接。
[0008]優(yōu)選地�,當(dāng)網(wǎng)卡芯片在獲取到網(wǎng)絡(luò)數(shù)據(jù)包時(shí),所述通訊模塊用于從所述網(wǎng)卡芯片獲取所述網(wǎng)絡(luò)數(shù)據(jù)包�,所述處理模塊包括:
網(wǎng)絡(luò)協(xié)議解析引擎,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議解析���;
訪問(wèn)控制模塊���,根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備獲取的至少一安全控制策略分析該當(dāng)前用戶訪問(wèn)是否安全,如是���,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�,否則進(jìn)行阻斷并通知審計(jì)模塊進(jìn)行稽核�;
審計(jì)模塊,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行稽核�。
[0009]優(yōu)選地,所述處理模塊還包括:
策略緩沖模塊����,用于在用戶訪問(wèn)服務(wù)器時(shí),保存用戶更新的安全控制策略并將其更新至固件模塊�����。
[0010]優(yōu)選地,所述處理模塊還包括:
安全策略匹配引擎��,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)��,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�����,如是��,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)���,否則進(jìn)行阻斷并通知審計(jì)模塊進(jìn)行稽核;
數(shù)據(jù)庫(kù)協(xié)議解析引擎���,用于根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特性對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析����;
SQL語(yǔ)法分析引擎���,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)數(shù)據(jù)庫(kù)協(xié)議解析引擎解析得到的SQL語(yǔ)句進(jìn)行分析�,以判斷對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)是否合法�����;
數(shù)據(jù)庫(kù)安全策略匹配引擎,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配���,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�,如是��,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�,否則進(jìn)行阻斷并通知審計(jì)模塊進(jìn)行稽核;
加解密模塊���,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密����。
[0011]更為優(yōu)選地����,所述可插拔地與服務(wù)器連接的安全設(shè)備是一張卡或移動(dòng)介質(zhì)。
[0012]一種服務(wù)器�����,其與一安全設(shè)備連接����,所述安全設(shè)備包括:
通訊模塊����,用于與服務(wù)器提供的對(duì)外通信接口對(duì)接�,并通過(guò)該接口實(shí)現(xiàn)與服務(wù)器的信息交互;
固件模塊��,用于被預(yù)先配置有至少一安全控制策略��;
以及���,處理模塊,用于當(dāng)服務(wù)器檢測(cè)到該安全設(shè)備被連接其上時(shí)���,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)�����。
[0013]優(yōu)選地����,所述安全設(shè)備可插拔地與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接��;
或,所述安全設(shè)備被集成于服務(wù)器的主板上�����,并與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接���。[0014]一種服務(wù)器信息安全實(shí)現(xiàn)方法���,其包括:
服務(wù)器提供對(duì)外通信接口,并通過(guò)該對(duì)外通信接口實(shí)現(xiàn)與安全設(shè)備的信息交互��,其中���,所述安全設(shè)備被預(yù)先配置有至少一安全控制策略�����,當(dāng)該安全設(shè)備被連接至服務(wù)器并被其識(shí)別時(shí)�����,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)��。
[0015]優(yōu)選地����,所述安全設(shè)備可插拔地與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接;
或���,所述安全設(shè)備被集成于服務(wù)器的主板上�,并與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接���。
[0016]優(yōu)選地�����,當(dāng)該安全設(shè)備被連接至服務(wù)器并被其識(shí)別時(shí)����,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)的步驟包括:
在用戶訪問(wèn)服務(wù)器時(shí)��,獲取網(wǎng)絡(luò)數(shù)據(jù)包����;
對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議解析�����;
根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備獲取的至少一安全控制策略分析該當(dāng)前用戶訪問(wèn)是否安全,如是�����,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)����,否則進(jìn)行阻斷并進(jìn)行稽核。
[0017]根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)����,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),如是���,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�����,否則進(jìn)行阻斷并進(jìn)行稽核�����。
[0018]根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特性對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析���;
根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配�,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)��,如是����,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),否則進(jìn)行阻斷并進(jìn)行稽核�;
根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解
LU O
[0019]本發(fā)明利用一集成安全控制策略的高速安全設(shè)備(例如安全芯片卡),保護(hù)服務(wù)器的安全�����,實(shí)現(xiàn)服務(wù)器安全的即插即用功能����,實(shí)現(xiàn)將對(duì)外的服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,同時(shí)又與內(nèi)部網(wǎng)關(guān)完全隔離����。其中���,所述安全控制策略包括但不限于應(yīng)用安全策略����、數(shù)據(jù)安全策略、操作系統(tǒng)安全策略����、數(shù)據(jù)庫(kù)安全策略(例如數(shù)據(jù)庫(kù)數(shù)據(jù)的加解密策略、數(shù)據(jù)庫(kù)結(jié)構(gòu)的加解密策略)���、網(wǎng)絡(luò)安全策略以及安全審計(jì)策略等�����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0020]圖1為本發(fā)明實(shí)施例提供的安全設(shè)備功能結(jié)構(gòu)示意圖����;
圖2為本發(fā)明實(shí)施例提供的安全設(shè)備詳細(xì)結(jié)構(gòu)示意圖�����;
圖3為本發(fā)明實(shí)施例提供的服務(wù)器信息安全實(shí)現(xiàn)方法流程示意圖���。
[0021]本發(fā)明目的的實(shí)現(xiàn)����、功能特點(diǎn)及優(yōu)異效果,下面將結(jié)合具體實(shí)施例以及附圖做進(jìn)一步的說(shuō)明���。
【具體實(shí)施方式】
[0022]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明所述技術(shù)方案作進(jìn)一步的詳細(xì)描述��,以使本領(lǐng)域的技術(shù)人員可以更好的理解本發(fā)明并能予以實(shí)施���,但所舉實(shí)施例不作為對(duì)本發(fā)明的限定。[0023]如圖1以及圖2所示����,本發(fā)明實(shí)施例提供了一種安全設(shè)備500,包括:
通訊模塊10�����,用于與服務(wù)器600提供的對(duì)外通信接口 40對(duì)接���,并通過(guò)該接口實(shí)現(xiàn)與服務(wù)器600的信息交互����;
固件模塊30�����,用于被預(yù)先配置有至少一安全控制策略�����;
以及���,處理模塊20����,用于當(dāng)服務(wù)器600檢測(cè)到該安全設(shè)備500時(shí)��,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器600的信息安全防護(hù)���。
[0024]本領(lǐng)域的技術(shù)人員結(jié)合本發(fā)明的精神以及現(xiàn)有技術(shù)�����,不難在產(chǎn)業(yè)上實(shí)現(xiàn)所述通訊模塊10�����、固件模塊30以及處理模塊20�,具體地�,所述固件模塊30通過(guò)被預(yù)先配置有至少一安全控制策略�����,所述處理模塊20當(dāng)服務(wù)器600檢測(cè)到該安全設(shè)備500被連接其上時(shí)����,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器600的信息安全防護(hù)���。
[0025]所述安全防護(hù)包括但不限于:數(shù)據(jù)庫(kù)顆粒加解密����、透明加解密����、密文索引和密文檢索、數(shù)據(jù)庫(kù)防火墻���、數(shù)據(jù)庫(kù)訪問(wèn)事件溯源�����、操作系統(tǒng)訪問(wèn)控制����、操作系統(tǒng)內(nèi)核加固、非結(jié)構(gòu)化數(shù)據(jù)加密�����、服務(wù)器管理信息�、工作狀態(tài)��、服務(wù)器管控�、網(wǎng)絡(luò)防火墻以及訪問(wèn)控制。所述安全策略包括但不限于:應(yīng)用安全策略���、數(shù)據(jù)安全策略����、操作系統(tǒng)安全策略����、數(shù)據(jù)庫(kù)安全策略(例如數(shù)據(jù)庫(kù)數(shù)據(jù)的加解密策略、數(shù)據(jù)庫(kù)結(jié)構(gòu)的加解密策略)��、網(wǎng)絡(luò)安全策略以及安全審計(jì)策略等�。在實(shí)際應(yīng)用當(dāng)中,用戶可對(duì)這些安全控制策略進(jìn)行增刪和修改����。
[0026]除此之外�����,所述安全設(shè)備500還可以提供擴(kuò)展接口以實(shí)現(xiàn)功能拓展����,例如為可信計(jì)算���、VPN��、防病毒��、指紋識(shí)別���、PKI認(rèn)證、加密���、應(yīng)用防護(hù)和安全審計(jì)等安全產(chǎn)品和技術(shù)提供靈活的擴(kuò)展�����。
[0027]本實(shí)施例中�,所述安全設(shè)備500可插拔地與服務(wù)器600的對(duì)外通信接口 40進(jìn)行通信連接;具體地��,所述安全設(shè)備500為可插拔設(shè)備��,其兼做插拔端子的通訊模塊10與服務(wù)器600提供的用以插拔安全設(shè)備500的對(duì)外通信接口 40對(duì)接�。更為具體地,當(dāng)所述安全設(shè)備500為可插拔設(shè)備時(shí),所述可插拔設(shè)備是一張卡或移動(dòng)介質(zhì)�����。
[0028]在另一實(shí)施例中���,所述安全設(shè)備500被集成于服務(wù)器600的主板上,并與服務(wù)器600的對(duì)外通信接口 40進(jìn)行通信連接。
[0029]優(yōu)選地�,當(dāng)網(wǎng)卡芯片50在獲取到網(wǎng)絡(luò)數(shù)據(jù)包時(shí),所述通訊模塊10用于從所述網(wǎng)卡芯片50獲取所述網(wǎng)絡(luò)數(shù)據(jù)包���,其中�����,所述網(wǎng)卡芯片50可以被部署在服務(wù)器600之上����,參考圖2所示,所述處理模塊20包括:
網(wǎng)絡(luò)協(xié)議解析引擎202�,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議解析;例如所述網(wǎng)絡(luò)協(xié)議為T(mén)CP (Transmission Control Protocol,傳輸控制協(xié)議)協(xié)議等����;
訪問(wèn)控制模塊203,根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備500獲取的至少一安全控制策略分析該當(dāng)前用戶訪問(wèn)是否安全�,如是,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)����,否則進(jìn)行阻斷并通知審計(jì)模塊206進(jìn)行稽核;
審計(jì)模塊206����,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行稽核。
[0030]優(yōu)選地�����,所述處理模塊20還包括:
策略緩沖模塊201�����,用于在用戶訪問(wèn)服務(wù)器600時(shí),保存用戶更新的安全控制策略并將其更新至固件模塊30�����。
[0031 ] 優(yōu)選地�����,所述處理模塊20還包括:
安全策略匹配引擎204�,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè),以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)���,如是,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)��,否則進(jìn)行阻斷并通知審計(jì)模塊206進(jìn)行稽核����;
數(shù)據(jù)庫(kù)協(xié)議解析引擎205,用于根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特性對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析����;
SQL語(yǔ)法分析引擎207,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)數(shù)據(jù)庫(kù)協(xié)議解析引擎205解析得到的SQL語(yǔ)句進(jìn)行分析�,以判斷對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)是否合法;
數(shù)據(jù)庫(kù)安全策略匹配引擎208���,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配��,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)��,如是����,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),否則進(jìn)行阻斷并通知審計(jì)模塊206進(jìn)行稽核���;
加解密模塊209���,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密。
[0032]下面結(jié)合圖3�,以插拔式的安全設(shè)備500為例對(duì)安全設(shè)備500的具體工作步驟做進(jìn)一步的詳細(xì)說(shuō)明,包括以下步驟:
步驟S00����、用戶將安全設(shè)備500安裝到需要安全防護(hù)的服務(wù)器600之上。
[0033]步驟SOl��、用戶訪問(wèn)服務(wù)器600時(shí)�����,策略緩沖模塊201保存用戶的設(shè)置,這些設(shè)置包括用戶主動(dòng)輸入的服務(wù)器600安全控制策略�����。
[0034]步驟S02�、用戶訪問(wèn)服務(wù)器600。
[0035]步驟S03��、安全設(shè)備500通過(guò)服務(wù)器600的網(wǎng)卡芯片50獲取網(wǎng)絡(luò)數(shù)據(jù)包�。
[0036]步驟S04、網(wǎng)絡(luò)協(xié)議解析引擎202對(duì)網(wǎng)絡(luò)數(shù)據(jù)包根據(jù)各種協(xié)議的特點(diǎn)進(jìn)行解析�����。
[0037]步驟S05���、訪問(wèn)控制模塊203根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備500獲得的或從策略緩沖模塊201直接獲取的安全控制策略,分析是否符合訪問(wèn)安全���,如果符合����,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),否則進(jìn)行阻斷并進(jìn)行稽核��。
[0038]步驟S06���、安全策略匹配引擎204根據(jù)從安全設(shè)備500獲得的或從策略緩沖模塊201直接獲取的安全控制策略對(duì)訪問(wèn)控制模塊203允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配���,以檢查是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),如果不允許���,則進(jìn)行阻斷并進(jìn)行稽核���。
[0039]步驟S07、數(shù)據(jù)庫(kù)協(xié)議解析引擎205對(duì)網(wǎng)絡(luò)數(shù)據(jù)包根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特點(diǎn)進(jìn)行解析��。
[0040]步驟S08��、數(shù)據(jù)庫(kù)安全策略匹配引擎208根據(jù)從安全設(shè)備500獲得的或從策略緩沖模塊201直接獲取的數(shù)據(jù)庫(kù)安全控制策略對(duì)安全策略匹配引擎204允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配�����,以檢查是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�,如果不允許,則進(jìn)行阻斷并進(jìn)行稽核�。
[0041]步驟S09��、加解密模塊209根據(jù)從安全設(shè)備500獲得的或從策略緩沖模塊201直接獲取的安全控制策略判斷是否需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)包包含的數(shù)據(jù)進(jìn)行加解密��,如果需要����,則根據(jù)從安全設(shè)備500獲取或從策略緩沖模塊201直接獲取的安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密��。
[0042]繼續(xù)參考圖2所示�����,本發(fā)明實(shí)施例還提供了一種服務(wù)器600�����,其與一安全設(shè)備500連接���,所述安全設(shè)備500包括:
通訊模塊10���,用于與服務(wù)器600提供的對(duì)外通信接口 40對(duì)接���,并通過(guò)該接口實(shí)現(xiàn)與服務(wù)器600的信息交互��; 固件模塊30��,用于被預(yù)先配置有至少一安全控制策略���;
以及�����,處理模塊20�����,用于當(dāng)服務(wù)器600檢測(cè)到該安全設(shè)備500被連接其上時(shí)�����,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器600的信息安全防護(hù)��。
[0043]在具體實(shí)施時(shí)��,所述服務(wù)器600自身已經(jīng)將得以實(shí)現(xiàn)安全防護(hù)的各種安全控制軟件剝離���,例如網(wǎng)絡(luò)防火墻軟件等。在需要對(duì)相應(yīng)的服務(wù)器600進(jìn)行具體防護(hù)時(shí)���,掌握有相應(yīng)安全設(shè)備500管轄權(quán)的特定用戶只需要將該安全設(shè)備500插入該服務(wù)器600之上����,或者相應(yīng)的用戶對(duì)已經(jīng)集成有安全設(shè)備500的服務(wù)器600進(jìn)行操作,即可實(shí)現(xiàn)服務(wù)器600的安全防護(hù)��。
[0044]優(yōu)選地���,所述安全設(shè)備500可以是一張卡或U盤(pán)等移動(dòng)介質(zhì)��,可插拔地與服務(wù)器600的對(duì)外通信接口 40進(jìn)行通信連接�;
或����,所述安全設(shè)備500被集成于服務(wù)器600的主板上,并與服務(wù)器600的對(duì)外通信接口40進(jìn)行通信連接���。
[0045]同樣地���,當(dāng)服務(wù)器600的網(wǎng)卡芯片50在獲取到網(wǎng)絡(luò)數(shù)據(jù)包時(shí),所述安全設(shè)備500的通訊模塊10用于從所述網(wǎng)卡芯片50獲取所述網(wǎng)絡(luò)數(shù)據(jù)包�,所述處理模塊20包括:
網(wǎng)絡(luò)協(xié)議解析引擎202,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議解析�;例如所述網(wǎng)絡(luò)協(xié)議為T(mén)CP (Transmission Control Protocol,傳輸控制協(xié)議)協(xié)議等;
訪問(wèn)控制模塊203�����,根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備500獲取的至少一安全控制策略分析該當(dāng)前用戶訪問(wèn)是否安全�,如是,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)����,否則進(jìn)行阻斷并通知審計(jì)模塊206進(jìn)行稽核;
審計(jì)模塊206���,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行稽核��。
[0046]優(yōu)選地�,所述處理模塊20還包括:
策略緩沖模塊201��,用于在用戶訪問(wèn)服務(wù)器600時(shí)�,保存用戶更新的安全控制策略并將其更新至固件模塊30。
[0047]優(yōu)選地���,所述處理模塊20還包括:
安全策略匹配引擎204�����,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)���,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�����,如是����,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)���,否則進(jìn)行阻斷并通知審計(jì)模塊206進(jìn)行稽核����;
數(shù)據(jù)庫(kù)協(xié)議解析引擎205����,用于根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特性對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析;
SQL語(yǔ)法分析引擎207���,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)數(shù)據(jù)庫(kù)協(xié)議解析引擎205解析得到的SQL語(yǔ)句進(jìn)行分析����,以判斷對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)是否合法;
數(shù)據(jù)庫(kù)安全策略匹配引擎208��,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配�,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�,如是,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�,否則進(jìn)行阻斷并通知審計(jì)模塊206進(jìn)行稽核;
加解密模塊209����,用于根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密。
[0048]如圖3所示并參考圖2�����,本發(fā)明實(shí)施例還提供了一種服務(wù)器600信息安全實(shí)現(xiàn)方法��,其包括如下步驟:
S10����、服務(wù)器600提供對(duì)外通信接口 40,并通過(guò)該對(duì)外通信接口 40實(shí)現(xiàn)與安全設(shè)備500的信息交互��,其中,所述安全設(shè)備500被預(yù)先配置有至少一安全控制策略�����,當(dāng)該安全設(shè)備500被連接至服務(wù)器600并被其識(shí)別時(shí)�,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器600的信息安全防護(hù)。
[0049]本實(shí)施例中���,所述安全設(shè)備500可插拔地與服務(wù)器600的對(duì)外通信接口 40進(jìn)行通信連接���;在本實(shí)施例中,在實(shí)現(xiàn)服務(wù)器600具體應(yīng)用時(shí)��,通過(guò)采用集成安全功能以及網(wǎng)卡功能的安全設(shè)備500�����,只需將安全設(shè)備500插入服務(wù)器600的相應(yīng)接口����,使得服務(wù)器600在執(zhí)行實(shí)際業(yè)務(wù)時(shí),通過(guò)與安全設(shè)備500進(jìn)行信息交互����,選擇至少一所述安全控制策略進(jìn)行安全控制處理,即可以實(shí)現(xiàn)服務(wù)器600的安全防護(hù)。
[0050]或另一實(shí)施例中����,所述安全設(shè)備500被集成于服務(wù)器600的主板上,并與服務(wù)器600的對(duì)外通信接口 40進(jìn)行通信連接�����。在該實(shí)施例中�,在實(shí)現(xiàn)服務(wù)器600具體應(yīng)用時(shí)�,通過(guò)采用集成安全功能以及網(wǎng)卡功能的安全設(shè)備500,并將將安全設(shè)備500集成到服務(wù)器600的主板之上�����,使得服務(wù)器600在執(zhí)行實(shí)際業(yè)務(wù)時(shí)����,通過(guò)與安全設(shè)備500進(jìn)行信息交互,選擇至少一所述安全控制策略進(jìn)行安全控制處理���,即可以實(shí)現(xiàn)服務(wù)器600的安全防護(hù)�。
[0051]依照本發(fā)明的精神�,本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)?shù)弥?所述被寫(xiě)入安全設(shè)備500的安全控制策略包括但不限于應(yīng)用安全策略、數(shù)據(jù)安全策略、操作系統(tǒng)安全策略���、數(shù)據(jù)庫(kù)安全策略(例如數(shù)據(jù)庫(kù)數(shù)據(jù)的加解密策略�����、數(shù)據(jù)庫(kù)結(jié)構(gòu)的加解密策略)���、網(wǎng)絡(luò)安全策略以及安全審計(jì)策略等。在實(shí)際應(yīng)用當(dāng)中�����,用戶可對(duì)這些安全控制策略進(jìn)行增刪和修改�����。
[0052]優(yōu)選地�,當(dāng)該安全設(shè)備500被連接至服務(wù)器600并被其識(shí)別時(shí),實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器600的信息安全防護(hù)的步驟包括:
S100�、在用戶訪問(wèn)服務(wù)器600時(shí),獲取網(wǎng)絡(luò)數(shù)據(jù)包�;
S100、對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議解析�����;
S100、根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備500獲取的至少一安全控制策略分析該當(dāng)前用戶訪問(wèn)是否安全��,如是��,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)���,否則進(jìn)行阻斷并進(jìn)行稽核���。
[0053]S100、根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)�,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)����,如是,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�����,否則進(jìn)行阻斷并進(jìn)行稽核���。
[0054]S100���、根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特性對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析�;
S100�、根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)���,如是�,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)����,否則進(jìn)行阻斷并進(jìn)行稽核;
S100����、根據(jù)從安全設(shè)備500獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密。
[0055]以上所述僅為本發(fā)明的優(yōu)選實(shí)施例����,并非因此限制本發(fā)明的專(zhuān)利范圍,凡是利用本發(fā)明說(shuō)明書(shū)及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換�,或直接或間接運(yùn)用在其他相關(guān)的【技術(shù)領(lǐng)域】,均同理包括在本發(fā)明的專(zhuān)利保護(hù)范圍內(nèi)�。
【權(quán)利要求】
1.一種安全設(shè)備,其特征在于�����,包括: 通訊模塊,用于與服務(wù)器提供的對(duì)外通信接口對(duì)接�����,并通過(guò)該接口實(shí)現(xiàn)與服務(wù)器的信息交互�����; 固件模塊�,用于被預(yù)先配置有至少一安全控制策略; 以及��,處理模塊����,用于當(dāng)服務(wù)器檢測(cè)到該安全設(shè)備時(shí)�,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)。
2.如權(quán)利要求1所述的安全設(shè)備����,其特征在于,所述安全設(shè)備可插拔地與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接����; 或���,所述安全設(shè)備被集成于服務(wù)器的主板上,并與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接�。
3.如權(quán)利要求1所述的安全設(shè)備,其特征在于����,當(dāng)網(wǎng)卡芯片在獲取到網(wǎng)絡(luò)數(shù)據(jù)包時(shí),所述通訊模塊用于從所述網(wǎng)卡芯片獲取所述網(wǎng)絡(luò)數(shù)據(jù)包���,所述處理模塊包括: 網(wǎng)絡(luò)協(xié)議解析引擎���,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議解析; 訪問(wèn)控制模塊�,根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備獲取的至少一安全控制策略分析該當(dāng)前用戶訪 問(wèn)是否安全,如是�����,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)���,否則進(jìn)行阻斷并通知審計(jì)模塊進(jìn)行稽核����; 審計(jì)模塊,用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行稽核�。
4.如權(quán)利要求3所述的安全設(shè)備,其特征在于����,所述處理模塊還包括: 策略緩沖模塊,用于在用戶訪問(wèn)服務(wù)器時(shí)���,保存用戶更新的安全控制策略并將其更新至固件模塊����。
5.如權(quán)利要求3所述的安全設(shè)備�����,其特征在于����,所述處理模塊還包括: 安全策略匹配引擎,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)�����,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)��,如是�,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),否則進(jìn)行阻斷并通知審計(jì)模塊進(jìn)行稽核����; 數(shù)據(jù)庫(kù)協(xié)議解析引擎,用于根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特性對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析�; SQL語(yǔ)法分析引擎,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)數(shù)據(jù)庫(kù)協(xié)議解析引擎解析得到的SQL語(yǔ)句進(jìn)行分析����,以判斷對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)是否合法; 數(shù)據(jù)庫(kù)安全策略匹配引擎�����,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配����,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),如是�����,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),否則進(jìn)行阻斷并通知審計(jì)模塊進(jìn)行稽核����; 加解密模塊,用于根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解密��。
6.如權(quán)利要求2所述的安全設(shè)備���,其特征在于�����,所述可插拔地與服務(wù)器連接的安全設(shè)備是一張卡或移動(dòng)介質(zhì)�����。
7.一種服務(wù)器����,其特征在于���,所述服務(wù)器與一安全設(shè)備連接��,所述安全設(shè)備包括: 通訊模塊���,用于與服務(wù)器提供的對(duì)外通信接口對(duì)接,并通過(guò)該接口實(shí)現(xiàn)與服務(wù)器的信息交互���; 固件模塊�,用于被預(yù)先配置有至少一安全控制策略�����;以及����,處理模塊,用于當(dāng)服務(wù)器檢測(cè)到該安全設(shè)備被連接其上時(shí)�����,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)�����。
8.如權(quán)利要求7所述的服務(wù)器��,其特征在于,所述安全設(shè)備可插拔地與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接����; 或,所述安全設(shè)備被集成于服務(wù)器的主板上���,并與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接�。
9.一種服務(wù)器信息安全實(shí)現(xiàn)方法�����,其特征在于��,包括: 服務(wù)器提供對(duì)外通信接口����,并通過(guò)該對(duì)外通信接口實(shí)現(xiàn)與安全設(shè)備的信息交互,其中�,所述安全設(shè)備被預(yù)先配置有至少一安全控制策略,當(dāng)該安全設(shè)備被連接至服務(wù)器并被其識(shí)別時(shí)���,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)����。
10.如權(quán)利要求9所述的服務(wù)器信息安全實(shí)現(xiàn)方法,其特征在于���,所述安全設(shè)備可插拔地與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接�����; 或,所述安全設(shè)備被集成于服務(wù)器的主板上���,并與服務(wù)器的對(duì)外通信接口進(jìn)行通信連接���。
11.如權(quán)利要求9所述的服務(wù)器信息安全實(shí)現(xiàn)方法,其特征在于��,當(dāng)該安全設(shè)備被連接至服務(wù)器并被其識(shí)別時(shí)����,實(shí)時(shí)地執(zhí)行這些安全控制策略中的至少一個(gè)以實(shí)現(xiàn)服務(wù)器的信息安全防護(hù)的步驟包括: 在用戶訪問(wèn)服務(wù)器時(shí),獲取網(wǎng)絡(luò)數(shù)據(jù)包���; 對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)協(xié)議解析����; 根據(jù)網(wǎng)絡(luò)協(xié)議解析的結(jié)果以及從安全設(shè)備獲取的至少一安全控制策略分析該當(dāng)前用戶訪問(wèn)是否安全,如是���,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)��,否則進(jìn)行阻斷并進(jìn)行稽核�; 根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè)�����,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)��,如是��,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)����,否則進(jìn)行阻斷并進(jìn)行稽核; 根據(jù)各種數(shù)據(jù)庫(kù)協(xié)議的特性對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解析��; 根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行安全策略匹配����,以判斷是否允許網(wǎng)絡(luò)數(shù)據(jù)包通過(guò),如是���,則允許此網(wǎng)絡(luò)數(shù)據(jù)包通過(guò)�,否則進(jìn)行阻斷并進(jìn)行稽核; 根據(jù)從安全設(shè)備獲取的至少一安全控制策略對(duì)所述允許通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行加解LU O
【文檔編號(hào)】H04L29/06GK103795735SQ201410082238
【公開(kāi)日】2014年5月14日 申請(qǐng)日期:2014年3月7日 優(yōu)先權(quán)日:2014年3月7日
【發(fā)明者】尹立東, 秦明, 顏國(guó)榮, 劉宗臻, 曹毅清, 李彥博, 李靜, 張文精, 葉福林 申請(qǐng)人:深圳市邁科龍電子有限公司